Políticas de seguridad globales

En un firewall con estado de Junos OS, las políticas de seguridad aplican reglas para el tráfico de tránsito, en términos de qué tráfico puede pasar a través del firewall y las acciones que deben llevarse a cabo en el tráfico a medida que pasa por el firewall. Las políticas de seguridad requieren tráfico para entrar en una zona de seguridad y salir de otra. Esta combinación de una zona y de una a una se denomina context. Cada contexto contiene una lista ordenada de políticas. Cada política se procesa en el orden en que se define dentro de un contexto. El tráfico se clasifica haciendo coincidir con la política de zona a zona, dirección de origen, dirección de destino y la aplicación que el tráfico lleva en su encabezado de protocolo. Cada política global, como con cualquier otra política de seguridad, tiene las siguientes acciones: permitir, denegar, rechazar, registrar, contar.

Puede configurar una política de seguridad desde la interfaz de usuario. Las políticas de seguridad controlan el flujo de tráfico de una zona a otra mediante la definición del tipo(s) de tráfico permitido desde fuentes IP específicas a destinos ip específicos en horas programadas. Esto funciona bien en la mayoría de los casos, pero no es lo suficientemente flexible. Por ejemplo, si desea realizar acciones en el tráfico, debe configurar políticas para cada contexto posible. Para evitar la creación de varias políticas en todos los contextos posibles, puede crear una política global que incluya todas las zonas o una política de varias zonas que incluya varias zonas.

Mediante una política global, puede regular el tráfico con direcciones y aplicaciones, independientemente de sus zonas de seguridad, haciendo referencia a direcciones definidas por el usuario o a la dirección predefinida "cualquiera". Estas direcciones pueden abarcar varias zonas de seguridad. Por ejemplo, si desea proporcionar acceso a varias zonas o desde ellas, puede crear una política global con la dirección "cualquiera", que abarca todas las direcciones de todas las zonas. La selección de la dirección "cualquiera" coincide con cualquier dirección IP, y cuando "cualquiera" se utiliza como dirección de origen/destino en cualquier configuración de política global, coincide con la dirección de origen/destino de cualquier paquete.

Mediante una política global, también puede proporcionar acceso a varias zonas de origen y varias zonas de destino en una sola política. Sin embargo, recomendamos que, por motivos de seguridad y para evitar la suplantación de tráfico, cuando cree una política de varias zonas utilice criterios de coincidencia idénticos (dirección de origen, dirección de destino, aplicación) y una acción idéntica. En la figura 1, por ejemplo, si crea una política de varias zonas que incluya ZDM y Untrust desde zonas, suplantar tráfico de 203.0.113.0/24 desde la zona ZDM podría coincidir con la política correctamente y alcanzar al host protegido en la zona de confianza a la zona.

Nota:

Las políticas globales sin información de zona y a zona no admiten túneles VPN, ya que los túneles VPN requieren información de zona específica.

Cuando se realiza la búsqueda de políticas, las políticas se comprueban en el siguiente orden: intrazona (confianza a confianza), interzona (confianza a confianza) y, luego, global. De manera similar a las políticas regulares, se ordenan las políticas globales en un contexto, de modo que se aplique la primera política coincidente al tráfico.

Nota:

Si tiene una política global, asegúrese de no haber definido una regla de "captura general" como, coincidencia de origen cualquiera, destino de coincidencia o aplicación de coincidencia cualquiera en las políticas intra-zona o entre zonas, ya que no se comprobarán las políticas globales. Si no tiene una política global, se recomienda que incluya una acción de "denegar todo" en sus políticas de intrazona o entre zonas. Si tiene una política global, debe incluir una acción de "negar todo" en la política global.

En los sistemas lógicos, puede definir políticas globales para cada sistema lógico. Las políticas globales en un sistema lógico se encuentran en un contexto distinto al de otras políticas de seguridad, y tienen una prioridad menor que las políticas de seguridad regulares en una búsqueda de políticas. Por ejemplo, si se realiza una búsqueda de políticas, las políticas de seguridad regulares tienen prioridad sobre las políticas globales. Por lo tanto, en una búsqueda de políticas, primero se buscan políticas de seguridad regulares y, si no hay coincidencia, se realiza una búsqueda global de políticas.

A diferencia de otras políticas de seguridad de Junos OS, las políticas globales no hacen referencia a zonas de origen y destino específicas. Las políticas globales hacen referencia a la dirección predefinida "cualquiera" o a las direcciones definidas por el usuario que pueden abarcar varias zonas de seguridad. Las políticas globales le dan la flexibilidad de realizar acciones en el tráfico sin restricciones de zona. Por ejemplo, puede crear una política global para que cada host de cada zona pueda acceder al sitio web de la empresa, por ejemplo, www.example.com. Usar una política global es un atajo conveniente cuando hay muchas zonas de seguridad. El tráfico se clasifica haciendo coincidir su dirección de origen, dirección de destino y la aplicación que el tráfico lleva en su encabezado de protocolo.

En este ejemplo, se muestra cómo configurar una política global para denegar o permitir tráfico.

A diferencia de otras políticas de seguridad de Junos OS, las políticas globales le permiten crear políticas de varias zonas. Una política global es un acceso directo conveniente cuando hay muchas zonas de seguridad, ya que le permite configurar varias zonas de origen y varias zonas de destino en una política global en lugar de tener que crear una política independiente para cada par de zona o zona a zona, incluso cuando otros atributos, como la dirección de origen o la dirección de destino, son idénticos.